本期主題為敏感信息的明文傳輸漏洞的相關介紹。
一、什么是敏感信息的明文傳輸漏洞?
程序在通信時以明文形式傳輸敏感或重要數據,這些數據可能被未經授權的攻擊者嗅探。簡單點來說就是當我們在網站上面提交敏感數據到服務器的過程中未進行相關加密處理,導致攻擊者通過代理攻擊方式(劫持、嗅探等)即可獲取到這些未加密的敏感數據。
二、敏感信息的明文傳輸漏洞的構成條件有哪些?
滿足以下條件,就構成了一個敏感信息明文傳輸的安全漏洞:
1、從socket中獲取到敏感信息且未加密;
2、直接將未加密的敏感信息進行傳輸。
三、敏感信息的明文傳輸漏洞會造成哪些后果?
關鍵詞:讀取應用程序數據;修改文件或目錄
當攻擊者獲取到這些數據之后,就可以用這些信息以合法用戶的身份進入到應用系統中——甚至可能進入到應用系統后台中,一旦進入到應用系統中那么就可以獲取更多的敏感數據,以及更有機會發現更多的漏洞。
四、敏感信息的明文傳輸漏洞的防范和修補方法有哪些?
1、在傳輸之前使用可靠的加密算法對數據進行加密;
2、將服務器配置為使用加密通道進行通信,其中可能包括SSL或其他安全協議。
五、敏感信息的明文傳輸漏洞樣例:
敏感信息的明文傳輸在CWE中被編號為:CWE-319: Cleartext Transmission ofSensitive Information
軟件安全 網絡安全的最后一道防線
中科天齊公司是在中科院計算技術研究所的大力推動下
以中科院計算所國際領先的自主研究成果
為基礎組建的高新技術企業